[serg10]

Добрый день. Не могу подобрать синтаксис при настройке ACL на коммутаторе d-link 3200-28f старой ревизии А1. на новой (С1) правило звучит так:

 create access_profile profile_id 2 profile_name Packet packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFF0000

help please

 

 

[BETEPAH]

Зайдите на форум длинка, там есть спец по этим делам, под ником snark.

[Stp]

Там не в синтаксисе дело, у А1 и С1 вообще ACL по-разному устроены. Вам с С1 надо отдельно разбираться с нуля.

[xcme]

В 22.12.2017 в 12:02, serg10 сказал:

Не могу подобрать синтаксис при настройке ACL на коммутаторе d-link 3200-28f старой ревизии А1. на новой (С1) правило звучит так:

 create access_profile profile_id 2 profile_name Packet packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFF0000

Попробуйте так:

create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 1

Немного не понял конечную цель профиля. Хотите отфильтровать IPv4 с нестандартным заголовком?

Изменено 25 декабря, 2017 пользователем xcme
Исправил маску

[serg10]

Только что, xcme сказал:

Попробуйте так:

create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0xff00 profile_id 1

Немного не понял конечную цель профиля. Хотите отфильтровать IPv4 с нестандартным заголовком?

вот полная версия правила (на номера портов не смотрите)

 

create access_profile profile_id 2 profile_name Packet packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFF0000

 

config access_profile profile_id 2 add access_id 1 packet_content offset_chunk_1 0x8863 offset_chunk_2 0x0007 port 1-11 deny

 

config access_profile profile_id 2 add access_id 2 packet_content offset_chunk_1 0x86dd port 1-11 deny

 

config access_profile profile_id 2 add access_id 3 packet_content offset_chunk_1 0x008b port 1-11 deny

 

config access_profile profile_id 2 add access_id 4 packet_content offset_chunk_1 0x0087 port 1-11 deny

 

config access_profile profile_id 2 add access_id 5 packet_content offset_chunk_1 0x0089 port 1-11 deny

 

config access_profile profile_id 2 add access_id 6 packet_content offset_chunk_1 0x008a port 1-11 deny

 

config access_profile profile_id 2 add access_id 7 packet_content offset_chunk_1 0x01bd port 1-11 deny

 

config access_profile profile_id 2 add access_id 8 packet_content offset_chunk_1 0x01bd port 12 permit

 

config access_profile profile_id 2 add access_id 9 packet_content offset_chunk_1 0x008a port 12 permit

 

config access_profile profile_id 2 add access_id 10 packet_content offset_chunk_1 0x0089 port 12 permit

 

config access_profile profile_id 2 add access_id 11 packet_content offset_chunk_1 0x0087 port 12 permit

 

config access_profile profile_id 2 add access_id 12 packet_content offset_chunk_1 0x008b port 12 permit

[xcme]

1 час назад, serg10 сказал:

вот полная версия правила (на номера портов не смотрите)

Выше я ошибся в маске второго оффсета. Исправил в исходном сообщении (0x00ff  - правильно).

Давайте разбираться. (цэ) :)

Согласно документации чанки 3 и 4 это байты 10-13 и 14-17 соответственно, считая с нуля. Маска первого оффсета захватывает байты 12 и 13, а второго - байт 15:
 

10 11 12 13    14 15 16 17

00 00 FF FF    00 FF 00 00

Таким образом, первый оффсет соответствует ethertype, а второй - байту со значениями DSCP/ECN (в случае IPv4).

Правило ID 1 блокирует PPPoE определенного типа. Возможно - PADO.

Затем (ID 2) блокирует IPv6.

Дальше непонятный набор, не знаю таких типов.

 

Первые два правила, скорее всего (негде проверить), для старых ревизий должны выглядеть так:

create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x8863 offset2 0x0007 port X deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x86DD port X deny

 

[serg10]

1 час назад, xcme сказал:

Выше я ошибся в маске второго оффсета. Исправил в исходном сообщении (0x00ff  - правильно).

Давайте разбираться. (цэ) :)

Согласно документации чанки 3 и 4 это байты 10-13 и 14-17 соответственно, считая с нуля. Маска первого оффсета захватывает байты 12 и 13, а второго - байт 15:
 

10 11 12 13    14 15 16 17

00 00 FF FF    00 FF 00 00

Таким образом, первый оффсет соответствует ethertype, а второй - байту со значениями DSCP/ECN (в случае IPv4).

Правило ID 1 блокирует PPPoE определенного типа. Возможно - PADO.

Затем (ID 2) блокирует IPv6.

Дальше непонятный набор, не знаю таких типов.

 

Первые два правила, скорее всего (негде проверить), для старых ревизий должны выглядеть так:

create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x8863 offset2 0x0007 port X deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x86DD port X deny

 

Спасибо за грамотный ответ.

PCF для меня сложная вещь, и не так просто в ней разобраться. а полных мануалов нигде нет, одни куски

[AlKov]

serg10 , почитайте здесь и здесь

Мне вполне хватило для понимания. :-)

 

P.S. Правда, через несколько лет я практически совсем отказался от ACL, за исключением "вырезания" на доступе ipv6 и multicast.

Вполне хватает имеющегося "штатного" функционала (traffic_segmentation, filter dhcp и т.п..). Профита от ACL я так и не ощутил, а вот проблем нахватался.

Особенно после замены коммутатора, или изменений в структуре сети/типа подключения, в плане использования в ACL уже "мёртвых" параметров.